Code Nguyen
Writer
Nếu một trợ lý AI bạn đang dùng mỗi ngày âm thầm gửi dữ liệu cá nhân cho kẻ lạ thì sao bạn có phát hiện ra không?
Trong mục Cloud Assist, họ phát hiện rằng một kẻ xấu có thể nhét các đoạn nhật ký giả vào hệ thống. Khi người dùng tương tác lại với Gemini, AI có thể vô tình làm theo các chỉ dẫn ẩn trong đó mà không cảnh báo gì cho người dùng. Bạn hỏi chuyện thời tiết nhưng thực chất AI đang âm thầm gửi dữ liệu ra ngoài.
Mô hình Cá nhân hóa Tìm kiếm cũng gặp vấn đề tương tự. Nếu lịch sử trình duyệt của bạn bị chèn thêm các truy vấn giả, Gemini sẽ coi đó là ngữ cảnh thật. Từ đó AI có thể trả lời dựa trên dữ liệu bị đầu độc rồi vô tình tiết lộ luôn thông tin nhạy cảm như vị trí hoặc dữ liệu bạn đã lưu.
Với công cụ Duyệt web, lỗ hổng còn nguy hiểm hơn. Gemini có thể bị ép gửi các yêu cầu mạng ẩn chứa dữ liệu riêng tư đến máy chủ của kẻ tấn công. Người dùng không cần tải phần mềm độc hại, không cần bị lừa bấm vào email lạ, mọi thứ diễn ra trong nền một cách âm thầm.
Tenable gọi bộ ba lỗ hổng này là một cánh cửa vô hình. Thay vì tấn công bằng virus hay lừa đảo, kẻ xấu chỉ việc thao túng chính môi trường dữ liệu quanh AI. Kẻ tấn công không cần phá khóa, chỉ cần nói khéo để AI tự mở cửa.
Google đã vá lỗi cả ba vấn đề này và người dùng không cần làm gì thêm. Tuy nhiên, bài học lớn hơn nằm ở chỗ khác. Các hệ thống AI không thể được coi là một công cụ thụ động. Mỗi tính năng AI phải được xem như một bề mặt tấn công chủ động, phải được kiểm tra và giám sát liên tục như bất kỳ hạ tầng mạng nào khác.
Nếu bạn đang phụ trách hạ tầng AI trong doanh nghiệp, lời khuyên là hãy:
• Thường xuyên kiểm tra nhật ký và lịch sử tích hợp để phát hiện dữ liệu bị thao túng
• Giám sát các hành động thực thi bất thường của công cụ tìm kiếm hoặc duyệt web
• Đặt cảnh giới với mọi phản hồi không rõ nguồn gốc từ AI, kể cả khi trông có vẻ hợp lý
Sự cố lần này không chỉ là chuyện vá một lỗi kỹ thuật. Nó là lời nhắc rằng bảo mật AI cần cách tiếp cận mới. Thời đại mà chính nền tảng thông minh có thể bị biến thành vũ khí đã bắt đầu.
Ở Việt Nam, nhiều doanh nghiệp đang háo hức “tự động hóa bằng AI” nhưng không nhận ra rằng AI có thể bị điều khiển chỉ bằng dữ liệu đầu vào, không cần hack trực tiếp. Khi AI trở thành “nhân viên hỗ trợ” nhưng lại không biết phân biệt đúng sai, thì kẻ tấn công chỉ cần rỉ tai là đủ.
Nguồn: https://securitybrief.com.au/story/gemini-security-flaws-exposed-millions-to-silent-data-breaches
Khi chính AI trở thành công cụ tấn công
Nhóm nghiên cứu bảo mật của Tenable vừa chỉ ra ba lỗ hổng nghiêm trọng trong bộ công cụ Gemini của Google. Nghe thì có vẻ kỹ thuật nhưng bản chất rất dễ hiểu. Gemini thu thập mọi thứ xung quanh bạn để phục vụ phản hồi thông minh hơn, từ nhật ký thao tác, lịch sử tìm kiếm đến nội dung web. Nhưng chính những nguồn dữ liệu đó lại trở thành cửa sau cho kẻ tấn công.Trong mục Cloud Assist, họ phát hiện rằng một kẻ xấu có thể nhét các đoạn nhật ký giả vào hệ thống. Khi người dùng tương tác lại với Gemini, AI có thể vô tình làm theo các chỉ dẫn ẩn trong đó mà không cảnh báo gì cho người dùng. Bạn hỏi chuyện thời tiết nhưng thực chất AI đang âm thầm gửi dữ liệu ra ngoài.
Mô hình Cá nhân hóa Tìm kiếm cũng gặp vấn đề tương tự. Nếu lịch sử trình duyệt của bạn bị chèn thêm các truy vấn giả, Gemini sẽ coi đó là ngữ cảnh thật. Từ đó AI có thể trả lời dựa trên dữ liệu bị đầu độc rồi vô tình tiết lộ luôn thông tin nhạy cảm như vị trí hoặc dữ liệu bạn đã lưu.
Với công cụ Duyệt web, lỗ hổng còn nguy hiểm hơn. Gemini có thể bị ép gửi các yêu cầu mạng ẩn chứa dữ liệu riêng tư đến máy chủ của kẻ tấn công. Người dùng không cần tải phần mềm độc hại, không cần bị lừa bấm vào email lạ, mọi thứ diễn ra trong nền một cách âm thầm.
Tenable gọi bộ ba lỗ hổng này là một cánh cửa vô hình. Thay vì tấn công bằng virus hay lừa đảo, kẻ xấu chỉ việc thao túng chính môi trường dữ liệu quanh AI. Kẻ tấn công không cần phá khóa, chỉ cần nói khéo để AI tự mở cửa.
Bài học quan trọng: đừng tin AI một cách mù quáng
Theo Tenable, lỗi không nằm ở việc Gemini làm sai mà ở cách hệ thống phân biệt dữ liệu thật và dữ liệu bị đầu độc. AI vốn được thiết kế để hấp thụ ngữ cảnh càng nhiều càng tốt, nhưng lại thiếu khả năng cảnh giác. Chính sức mạnh thu thập ngữ cảnh trở thành điểm yếu nếu không có lớp phòng thủ đúng cách.Google đã vá lỗi cả ba vấn đề này và người dùng không cần làm gì thêm. Tuy nhiên, bài học lớn hơn nằm ở chỗ khác. Các hệ thống AI không thể được coi là một công cụ thụ động. Mỗi tính năng AI phải được xem như một bề mặt tấn công chủ động, phải được kiểm tra và giám sát liên tục như bất kỳ hạ tầng mạng nào khác.
Nếu bạn đang phụ trách hạ tầng AI trong doanh nghiệp, lời khuyên là hãy:
• Thường xuyên kiểm tra nhật ký và lịch sử tích hợp để phát hiện dữ liệu bị thao túng
• Giám sát các hành động thực thi bất thường của công cụ tìm kiếm hoặc duyệt web
• Đặt cảnh giới với mọi phản hồi không rõ nguồn gốc từ AI, kể cả khi trông có vẻ hợp lý
Sự cố lần này không chỉ là chuyện vá một lỗi kỹ thuật. Nó là lời nhắc rằng bảo mật AI cần cách tiếp cận mới. Thời đại mà chính nền tảng thông minh có thể bị biến thành vũ khí đã bắt đầu.
Ở Việt Nam, nhiều doanh nghiệp đang háo hức “tự động hóa bằng AI” nhưng không nhận ra rằng AI có thể bị điều khiển chỉ bằng dữ liệu đầu vào, không cần hack trực tiếp. Khi AI trở thành “nhân viên hỗ trợ” nhưng lại không biết phân biệt đúng sai, thì kẻ tấn công chỉ cần rỉ tai là đủ.
Nguồn: https://securitybrief.com.au/story/gemini-security-flaws-exposed-millions-to-silent-data-breaches
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview